[Gelöst] Wie erstellt man ein Letsencrypt Zertifikat mit ddnss.de?

_____Hans____

Neuer User
Mitglied seit
5 Jan 2020
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

Ich habe mir eine Domain auf der ddnss.de Seite erstellt. Hab sie mit der FRITZ!Box verbunden ohne jegliche Probleme. Jedoch wollte Ich mir ein Zertifikat mit Letsencrypt erstellen. Dies funktionierte jedoch mit TXT garnicht da es nur eine Zeile ist und nicht zwei Zeilen. Also hab Ich ja nicht die Möglichkeit die Validation abzuschließen. Zudem gibt es noch ACME DNS und die Option für Wildcard. Ich würde mich sehr freuen wenn jemand aus diesem Forum mir ausführlich erklären könnte wie man denn eigentlich ein Zertifikat mit ddnss.de erstellt.
 
Dies funktionierte jedoch mit TXT garnicht da es nur eine Zeile ist und nicht zwei
Ich denke, ich weiß, was du meinst. Wenn man ein Zertifikat mit mehreren Alternate Names oder ein Wildcard-Zertifikat (irgendwas.ddnss.de und *.irgendwas.ddnss.de) erstellen braucht man mehrere TXT-Records (einen pro Name). Das ist nicht einer mit mehreren Zeilen.

Ich lasse die Erstellung/Verlängerung auf meinem NAS als Script laufen. Dazu braucht man zunächst das Master-Script acme.sh von hier. Dann muss man sich noch 2 Scripts drumrum basteln, eines für die initiale Erstellung (z.B. acme_issue.sh) und eines für die Verlängerung (z.B. acme_renew.sh). Hier mal als Beispiel für ein Wildcard-Cert

acme_issue.sh
Code:
DOMAIN=irgendwas.ddnss.de
./acme.sh --issue -d *.$DOMAIN -d $DOMAIN --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please

acme_renew.sh
Code:
DOMAIN=irgendwas.ddnss.de
./acme.sh --renew $1 -d *.$DOMAIN -d $DOMAIN --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please
status=$?
if [ $status -eq 0 ]; then
  # update used certificates
  echo "Copying certs to /volume1/daten ..."
  cp "./.acme.sh/*.${DOMAIN}/*.${DOMAIN}.cer" "/volume1/daten/${DOMAIN}.cer"
  cp "./.acme.sh/*.${DOMAIN}/*.${DOMAIN}.key" "/volume1/daten/${DOMAIN}.key"
  cp "./.acme.sh/*.${DOMAIN}/ca.cer" "/volume1/daten/${DOMAIN}.ca.cer"
fi
Der letzte Block kopiert das Zertifikat, den Key und das Zwischenzertifikat an eine zugängliche Stelle.

Der DNS-Provider ist eigentlich ziemlich egal. Man muss dort nur TXT-Records anlegen/pflegen dürfen, die quasi als Nachweis dienen, dass einem die Domain gehört. Bei jedem Aufruf zeigt das Script zunächst an, welchen Wert die TXT-Records haben müssen, dann setzt man sie und wiederholt den Lauf.
 
Ich benutze den certbot. Sollte das Zertifikat für die Fritzbox sein, muss man die drei Einzelteile noch geeignet zusammenfassen.
Code:
cat cert.pem chain.pem privkey.pem > fritzbox.cert
 
Scheint mir ein bisschen Kompliziert zu sein. Das Zertifikat brauch Ich für die https funktion auf der FRITZ!Box da ständig die Meldung kommt das die Verbindung unsicher ist bei Certbot kommt diese Meldung
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
Please deploy a DNS TXT record under the name
_acme-challenge.domain.ddnss.de with the following value:

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Before continuing, verify the record is deployed.
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
und Ich komm da irgendwie nicht durch da es bei dem TXT Record nur eine Leiste ist also ist es mir nicht möglich die Verifizerung abzuschließen. Zudem hat win-acme die Möglichkeit für acme-dns die kann Ich jedoch mit der ddnss.de garnicht verbinden obwohl in den Domain Einstellungen acme-dns an ist.
 
Der automatische Abgleich der TXT-Records beim DNS-Provider ist nochmal ne ganz andere Geschichte. Nicht jeder DNS-Provider bietet eine API dafür.
Kannst du die TXT-Records nicht manuell über die Web-Oberfläche von ddnss.de anlegen/aktualisieren?
 
Ich hab nur diese Optionen.
 

Anhänge

  • Untitled.jpg
    Untitled.jpg
    66.3 KB · Aufrufe: 30
Puh, da bin ich überfragt. Bei mir (Strato) kann ich da eine ganze Liste pflegen, bestehend jeweils aus Präfix (_acme-challenge) und Wert.
Abrufen kann ich die dann beispielsweise mit "nslookup -q=TXT _acme-challenge.meinedomain.de"
 
Der automatische Abgleich der TXT-Records beim DNS-Provider ist nochmal ne ganz andere Geschichte.
Nee, wieso? Das war doch klar, und ist bei einem Fritzbox Zertifikat auch der einzige Weg.

Dann leg doch mal einen TXT Record mit dem entsprechenden Namen an. Was passiert denn dann?
 
Nee, wieso? Das war doch klar, und ist bei einem Fritzbox Zertifikat auch der einzige Weg.
Verstehe ich nicht. Meinst du MyFritz mit Zertifikat? Klar, da ist das alles mit drin.

Aber bei anderen DNS-Providern braucht es halt diese TXT-Records und die Werte ändern sich alle 3 Monate mit jeder Zertifikats-Verlängerung. Also muss man die halt händisch aktualisieren oder der DNS-Provider bietet eine API, über die auch das automatisiert werden kann.
Ich fürchte im Falle von @NeunMuenze92001 mit seinem kostenlosen ddnss.de geht weder das eine noch das andere richtig.
 
Verstehe ich nicht. Meinst du MyFritz mit Zertifikat?
Nein, wenn man selber ein Zertifikat für die Fritzbox bauen will. Wie willst du denn eine .well-known Challenge in der Fritzbox unterbringen? Das ginge ja nur bei einer Modifikation. Da bleibt nur der TXT Eintrag im DNS.

Aber bei anderen DNS-Providern braucht es halt diese TXT-Records und die Werte ändern sich alle 3 Monate mit jeder Zertifikats-Verlängerung.
Nein, sie ändern sich nicht bei Verlängerung. Jedenfalls nicht bei einem certbot --renew.

Ich hab mir allerdings auch mal ein hook Script für meinen dyndns Anbieter geschrieben, aber bei einem Renew wird das nicht benötigt.
 
Nein, sie ändern sich nicht bei Verlängerung. Jedenfalls nicht bei einem certbot --renew
certbot kenne ich nicht. Aber bei acme ändern die sich, nicht immer gleich, aber nach einiger Zeit. Ich hatte noch nie den Fall, dass die bei einem Renew kurz vor Ablauf noch die selben gewesen wären. Das macht ja auch Sinn, denn wenn sie zum Nachweis des Besitzes der Domäne dienen, müssen die sich genauso oft ändern, wie die Zertifikate selbst.
 
Wie dem auch sei, das wird hier offtopic.

@NeunMuenze92001: Hast du inzwischen versucht, einen passenden TXT Eintrag zu erzeugen?
 
Dann leg doch mal einen TXT Record mit dem entsprechenden Namen an.
Namen haben DNS records, nicht andersherum. DNS records werden über ihren Typ und die Domain identifiziert. Deswegen hat das Webinterface von ddnss.de keine Textbox für einen Namen. Der Name ist durch die Domain gegeben. Wenn man bei einigen Providern einen "Namen" für einen TXT record angeben kann, dann ist das eine implizite Subdomain, so wie im Screenshot oben für SRV records. Wenn ddnss.de keine TXT records für Subdomains unterstützt, dann ist es für letsencrypt nicht verwendbar.
[Edit Novize: Gelöschten Beitrag wieder hergestellt - Threadvandalismus wird nicht geduldet]
 
Zuletzt bearbeitet von einem Moderator:
Hallo an alle nochmals. Ich habe einen anderen DynDns Anbieter gefunden mit TXT Acme etc. Somit kann dieser Thread geschlossen werden.
 
Ja, echt cool, Forum FU.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: berndy2001
geschlossen werden muss der Thread nicht, was @unbekannter Benutzer ausdrücken möchte, ist wohl, dass Du dem Rest nicht verrätst, mit welchem Anbieter Du es nun bewerkstelligt hast.

Den Präfix hast Du ja bereits schon auf [Gelöst] gesetzt, prima.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.